Security

Vier Sicherheits-Patches für Windows. Vor einer Woche hat Microsoft bereits einen Sicherheits-Patch veröffentlicht, um eine Sicherheitslücke bei der Darstellung animierter Cursor zu schließen. Am regulären Patch-Day für den Monat April 2007 hat Microsoft sechs Sicherheitslecks in Windows sowie zwei Sicherheitslücken im Content Management Server mit Patches bedacht.

37 Sicherheitslücken werden geschlossen. Oracle hat für Mitte April 2007 die nächste Patch-Sammlung angekündigt, mit der 37 Sicherheitslöcher in den Produkten des Datenbankanbieters geschlossen werden sollen. Darunter auch Fehler, die sich von externen Angreifern ausnutzen lassen. Mit der frühen Übersicht möchte Oracle Administratoren Zeit zur Vorbereitung geben.

Forscher optimieren Angriffe auf drahtlose Netzwerke mit WEP-Verschlüsselung. Forschern der TU-Darmstadt ist es gelungen, Angriffe auf WEP-verschlüsselte drahtlose Netzwerke weiter zu optimieren. Statt zwischen einer halben und zwei Millionen aufzufangender Pakete benötigt die neue Methode nur noch 40.000 Pakete, um mit einer Wahrscheinlichkeit von 50 Prozent den Schlüssel eines WEP-WLAN zu errechnen.

Klage gegen Arbeitgeber vor dem Europäischen Gerichtshof für Menschenrechte. Die Britin Lynette Copland hat erfolgreich vor dem Europäischen Gerichtshof für Menschenrechte (EGMR) gegen die Überwachung ihrer Telefon-, E-Mail- und Internetkommunikation durch ihren Arbeitgeber geklagt, der damit sicherstellen wollte, dass die Kommunikationsmittel während der Arbeitszeit nicht privat genutzt werden.

Patch korrigiert sieben Windows-Fehler. Wie angekündigt, hat Microsoft eine Woche vor dem regulären Patch-Day im April 2007 ein Software-Update für Windows veröffentlicht. Der Sicherheits-Patch korrigiert unter anderem einen Fehler bei der Anzeige animierter Icon-Dateien, der von Angreifern bereits missbraucht wird. Der aktuelle Patch schließt insgesamt sieben Sicherheitslücken in Windows.

Neue Netscape-Version korrigiert nur Sicherheitslücken. AOL hat die Version 8.1.3 von Netscape veröffentlicht und will damit vor allem Sicherheitslücken schließen. Welche Sicherheitslecks darin geschlossen wurden, ist nicht bekannt. Neue Funktionen bringt Netscape 8.1.3 nicht.

Neue Sicherheitslücke wird aktiv ausgenutzt. In der vergangenen Woche hat Microsoft einen Fehler in den animierten Icon-Dateien bestätigt, nun soll bereits diese Woche ein Patch erscheinen. Eigentlich sollte dieser erst am regulären Patch-Day Mitte April 2007 erscheinen. Da das Sicherheitsleck aber bereits durch Schadcode ausgenutzt wird, entschied sich Microsoft zu diesem für den Konzern sehr ungewöhnlichen Schritt.

Pressekonferenz von EMI mit Steve Jobs. Die weltweit drittgrößte Plattenfirma EMI wird demnächst einen Großteil ihres Musikkataloges ohne Kopierschutz bzw. DRM verkaufen, schreibt das Wall Street Journal. Die Ankündigung soll am Montagmittag auf einer Pressekonferenz in London erfolgen, bei der auch Apple-Chef Steve Jobs mit von der Partie sein wird.

Rechner friert bei Dateioperationen ein. Seit Wochen macht ein ominöser Fehler in Windows Vista in Internetforen von sich reden. Der Rechner kann sich beim Kopieren, Verschieben oder Löschen einer Datei stundenlang mit sich selbst beschäftigen, die Aktion lässt sich auch nicht abbrechen. Zwar gibt es einen Hotfix von Microsoft, dieser ist jedoch nur auf Anfrage erhältlich, das Unternehmen nimmt zu diesem Fehler auch nicht weiter Stellung.

Auch persönliche Daten von knapp einer halben Million Kunden abhanden gekommen. Mitte 2005 hatte der Diebstahl von rund 40 Millionen Datensätzen bei CardSystems für Aufsehen gesorgt, wie nun bekannt wird, kam es beim US-Einzelhändler über einen Zeitraum von 18 Monaten zum Diebstahl mit noch größerer Tragweite.

Lawblogger Udo Vetter über die Auswirkungen des BGH-Urteils zur Forenhaftung. Der Bundesgerichtshof (BGH) hat entschieden, dass Forenbetreiber auch dann für Beiträge haften, wenn einem Verletzten die Identität des Autors bekannt ist. Maik Söhler sprach mit Rechtsanwalt und Lawblogger Udo Vetter über die Auswirkungen des Urteils.

Update sorgt für sicheres Entfernen der Player. Seit kurzem bietet Microsoft einen Patch an, der einen iPod davor schützt, Daten zu verlieren, wenn er über die Funktion "Hardware sicher entfernen" vom System abgemeldet wird. Ein weiteres Update löst ein Problem mit der Digitalkamera Canon EOS-1D.

Höhere Datentransferraten durch UWB in Kooperation mit der WiMedia Alliance. Die Bluetooth Special Interest Group (SIG) hat auf der CTIA Wireless 2007 Details zur kommenden Bluetooth-Spezifikation "2.1 + EDR" vorgestellt. Damit soll der Pairing-Prozess vereinfacht und der Stromverbrauch der Geräte gesenkt werden, so dass manche Geräte fünfmal länger mit einer Akkuladung auskommen sollen.

Emulator läuft auch auf mobilen Geräten. Unter dem Namen "JPC" haben Forscher der Universität Oxford einen komplett in Java geschriebenen x86-Emulator veröffentlicht. Durch Java als gewählte Programmiersprache soll JPC prinzipiell auf allen Geräten mit Java-Unterstützung laufen, also beispielsweise auch auf Mobiltelefonen. Innerhalb von JPC lassen sich beliebige x86-Betriebssysteme einrichten.

Account-Hacking erfolgte über "Social Engineering". Microsoft hatte vor einigen Tagen nach Berichten über entwendete Accounts technische Sicherheitsprobleme bei Xbox Live ausgeschlossen. Allerdings konnten die Support-Mitarbeiter dazu verleitet werden, Accounts umzuleiten, wie Xbox-Live-Chef Larry "Major Nelson" Hryb in seinem Blog eingestehen musste.

Jörg Ziercke rechtfertigt den "Bundestrojaner". Im Interview mit der "Tageszeitung" hat sich BKA-Präsident Jörg Ziercke dafür ausgesprochen, private Computer über das Internet zu durchsuchen. Die dafür notwendigen Maßnahmen würden keine Sicherheitslücken ausnutzen und seien unter anderem zur Terrorbekämpfung notwendig.

Installation ist nicht trivial. Dass sich Fremdcode auf Microsofts Spielekonsole Xbox 360 ausführen lässt, ist bereits länger bekannt. Nun demonstriert ein Video, wie die Linux-Distribution Ubuntu auf der Xbox 360 gestartet werden kann. Die dafür nötigen Schritte sind allerdings nicht trivial.

Auch ACDSee 8 und RealPlayer 6 laufen nun unter Windows Vista. Ein neues Update für Windows Vista macht das neue Betriebssystem von Microsoft kompatibel zu einer Reihe älterer Anwendungen. Der Patch wird vom Betriebssystem-Update zwar angeboten, muss aber von Hand installiert werden.

FAST fotobank nimmt 5 Euro pro GByte. Wer sich die Langzeitarchivierung seiner Daten, vor allem der von Bildern, aber auch anderen Informationen, nicht zutraut, der könnte vielleicht am Dienst "fotobank" von Fast Gefallen finden. Die Betreiber sichern zu, die ihnen anvertrauten Daten 30 Jahre lang zu sichern.

Neue Version für die kommende Woche angekündigt. In OpenOffice.org 2.x wurden drei Sicherheitslücken gefunden, die zum Teil zum Ausführen beliebigen Programmcodes missbraucht werden können. Die in Arbeit befindliche Version 2.2 von OpenOffice.org soll die Fehler korrigieren und wird voraussichtlich in der kommenden Woche erscheinen.

Bundesregierung soll Öffentlichkeit getäuscht haben. Nach einer Anfrage der FDP hält die Bundesregierung schon bisher Online-Durchsuchungen ohne ausdrückliche gesetzliche Grundlage für rechtmäßig. Der FDP-Innenexperte Hartfrid Wolff hatte eine parlamentarische Anfrage an die Bundesregierung gestellt. Der erklärte nun zusammen mit der innenpolitischen Sprecherin der FDP-Bundestagsfraktion Gisela Piltz, dass die Regierung die Öffentlichkeit in der Diskussion um Online-Durchsuchungen bisher getäuscht habe.

Supersat besitzt angeblich gültige Patente im DiSEqC-Bereich. Die Firma Supersat hatte Hersteller von Satelliten-Receivern aufgefordert, Angebote für die Herstellung von speziellen DiSEqC-Set-Top-Boxen abzugeben. Daraufhin wurden sie von dem Unternehmen wegen angeblicher Verletzung von Patentrechten abgemahnt.

Unternehmen widerspricht Meldungen. Derzeit machen Meldungen die Runde, denen zufolge Xbox Live gehackt und die Konten von Xbox-360-Spielern kompromittiert worden sein könnten. Microsoft widersprach dem nun.

Win4Lin Pro Desktop 4 mit besserer Grafikunterstützung. Virtual Bridges hat den Win4Lin Pro Desktop, mit dem sich Windows-Anwendungen unter Linux nutzen lassen, in einer neuen Version veröffentlicht. Neben generellen Virtualisierungsverbesserungen bietet die Software eine bessere Grafikunterstützung für Windows-XP-Gäste. Die Gerätetreiber werden nun außerdem als Open Source ausgeliefert.

Neue Versionen von Firefox erschienen; Marktanteil in Europa gleichbleibend. Das Mozilla-Team hat die Versionen 1.5.0.11 sowie 2.0.0.3 von Firefox veröffentlicht, um darin ein Sicherheitsleck in den ftp-Funktionen zu korrigieren. Auf Grund der Sicherheitslücke können sich Angreifer Informationen über die Netzwerkkonfiguration eines Rechners ergattern, um diese gegen das Opfer einzusetzen.

Unterstützung für größere FAT32-Volumes. Die Open-Source-Verschlüsselungssoftware Truecrypt ist nun in der Version 4.3 verfügbar, die hauptsächlich unter Windows neue Funktionen bietet. Dazu zählt eine vollständige Unterstützung von Windows Vista. In der Linux-Version wurde ein Sicherheitsproblem beseitigt.

Microsoft hat rechtliche Schritte angedroht. Wie WinFuture.de und Winboard.org per Forumsbeitrag mitteilen, werden vorerst keine inoffiziellen Pakete mit Windows-Patches mehr veröffentlicht. Microsoft hat den Betreibern von WinFuture.de rechtliche Schritte angedroht, falls die Patch-Sammlungen weiter angeboten werden.

Das Landesamt für Verfassungsschutz Nordrhein-Westfalen wird geehrt. Der jedes Jahr vom Chaos Computer Club (CCC) anlässlich der CeBIT verliehene Preis CCCeBIT geht dieses Mal an das Landesamt für Verfassungsschutz Nordrhein-Westfalen für den so genannten Bundestrojaner. Damit werden die Pläne kritisiert, verdeckte Online-Durchsuchungen durchzuführen.

Fertige Version soll im Mai 2007 verfügbar sein. Novell hat eine Beta-Version des Service Pack 1 für Suse Linux Enterprise 10 angekündigt. Im Bereich Virtualisierung bringt dieses weitere Verbesserungen, ebenso wie für die Hochverfügbarkeitssoftware in Suse Linux Enterprise. Für den Desktop bietet das Service Pack 1 eine erweiterte OpenOffice.org-Version sowie eine bessere Zusammenarbeit mit Microsofts Verzeichnisdiensten.

24-Hertz-Signale (24p) müssen nicht auf 60 Hz umgerechnet werden. Toshibas auf der CeBIT 2007 zu sehende neue LCD-Fernseher können die bei Filmproduktionen üblichen 24 Vollbilder pro Sekunde (24p) ohne vorherige Umwandlung darstellen und damit Ruckler vermeiden. Toshibas HD-DVD-Player werden ein Software-Update erhalten, um 24p-Material direkt ausgeben zu können.

Rechtlicher Rahmen muss noch überprüft werden. Nach einem Bericht der Frankfurter Rundschau könnte die Polizei in Deutschland bald auf den Web-2.0-Zug aufspringen. Entsprechende Überlegungen, die Fahndungsmaßnahmen auch mit Hilfe von Videoplattformen wie YouTube auszubauen, gibt es bereits. Deren rechtlicher Rahmen müsse aber noch überprüft werden.

Sponsoren schwenken angeblich zu "Deutschland sicher im Netz" um. Das als zentraler Punkt für Sicherheitsfragen in der IT gestartete Mittelstands-Cert (Mcert) soll Ende Juni abgewickelt werden, berichtet die Financial Times Deutschland. Einige der Sponsoren steigen aus und der BITKOM will das Mcert daher wohl einstellen.

Virenscanner von Avira werden Rootkits erkennen und entfernen können. Im April 2007 wird Avira seine Windows-Antivirenlösungen mit einer Rootkit-Erkennung ausstatten, teilte das Unternehmen auf der CeBIT 2007 mit. Damit sollen sich Rootkits auf Rechnern erkennen, anzeigen und auch rückstandsfrei entfernen lassen. Diese Technik wird auch im kostenlosen Virenscanner von Avira zu finden sein.

Bahn und Vodafone testen "Touch&Travel". Das Mobiltelefon soll künftig die Fahrkarte aus Papier ersetzen. Statt am Automaten oder beim Busfahrer ein Ticket zu kaufen, drückt der Kunde dann jeweils vor Abfahrt und bei Ankunft auf eine Handy-Taste. Darauf zumindest zielt ein Projekt namens "Touch&Travel" ab, mit dem die Deutsche Bahn, Vodafone und weitere Kooperationspartner das elektronische Ticketing-Verfahren in den kommenden Jahren zur Marktreife entwickeln wollen.

Potsdamer Hasso-Plattner-Institut auf der CeBIT. Das Hasso-Plattner-Institut für Softwaresystemtechnik (HPI) hat auf der CeBIT 2007 ein virtuelles IT-Sicherheitslabor vorgestellt, mit dem man üben kann, Sicherheitsumgebungen aufzubauen. Das Angebot kann mit einem normalen Webbrowser benutzt werden und soll eine realistische und sichere Trainingsumgebung bieten.

Kombination aus Hard- und Software verhindert das Kopieren von Daten. Nero stellt zur CeBIT für die gleichnamige Brennsuite Nero 7 eine neue Funktion mit dem Namen SecureDisc vor. Mit Hilfe einer Hardwarelösung in Form eines CD-/DVD-Brenners soll Nero erfolgreich unautorisiertes Kopieren oder Betrachten von Daten verhindern und zusätzlich die Zuverlässigkeit der Speicherung der Daten erhöhen.

Partner wollen Spam mit allen zur Verfügung stehenden Mitteln bekämpfen. Die Bundesnetzagentur ist dem Aktionsbündnis gegen Spam beigetreten und hofft durch die Zusammenarbeit auf eine Signalwirkung für Spammer. Das Anti-Spam-Bündnis besteht aus dem Verbraucherzentrale Bundesverband, der Zentrale zur Bekämpfung des unlauteren Wettbewerbs, dem Verband der deutschen Internetwirtschaft (eco) und jetzt auch der Bundesnetzagentur.

Anonymisierung nach 18 bis 24 Monaten soll Privatssphäre besser schützen. Bei jeder Suchanfrage sammelt Google fleißig Daten und hebt diese dauerhaft auf. Neben der Suchanfrage selbst zählen dazu die IP-Adresse und auch Cookie-Einstellungen. Nun soll sich dies ändern, nach einer gewissen Zeit sollen die Log-Daten künftig anonymisiert werden.

Toshiba Portégé R400 mit Push-E-Mail-Funktion. Toshiba hat das Notebook Portégé R400 auf der CeBIT 2007 vorgestellt. Das Gerät lässt sich, obwohl es mit einer normalen Notebook-Tastatur ausgerüstet ist, auch als Tablet-PC nutzen. Dazu wird das Display an seiner mittigen Befestigung um die eigene Achse gedreht und das Notebook verkehrt herum wieder geschlossen. Außerdem ist an der schmalen Gehäuserückseite ein Display zur Anzeige von E-Mails und fälligen Terminen eingebaut.

OSSI startet OpenCrypto-Management-Programm. Das Open Source Software Institute (OSSI) startet zusammen mit dem US-Verteidigungsministerium ein OpenCrypto genanntes Programm. Es folgt den Arbeiten des Instituts, die OpenSSL eine FIPS-Zertifizierung eingebracht haben, womit die freie SSL-Implementierung in amerikanischen und kanadischen Regierungseinrichtungen zum Einsatz kommen darf. Künftig soll dies auf weitere Software ausgeweitet werden.

Sicherheitslücken in Webapplikationen - automatische Scanner reichen nicht. Sicherheitslücken in Webapplikationen können nicht zuverlässig mit automatisierten Werkzeugen gefunden werden, so dass es weiterhin unverzichtbar ist, derartige Anwendungen von Menschen testen zu lassen. Das ist das Fazit einer Untersuchung, die Markus Schumacher auf der Konferenz Datenschutz und Datensicherheit in Berlin vorgestellt hat. Rupert Vogel, Honorarprofessor für Informationstechnologierecht an der Universität Mannheim, stellte vor, wie das Recht helfen kann, die Sicherheit von Software zu verbessern.

Update schließt einige nicht näher beschriebene Sicherheitslücken. Mit einem umfangreichen Update für MacOS X beseitigt Apple zahlreiche Fehler in seinem Betriebssystem. MacOS X 10.4.9 könnte die letzte größere Aktualisierung des Betriebssystems vor Erscheinen des Nachfolgers Leopard sein.

Bundesnetzagentur greift bei Fax-Spam durch. Die Bundesnetzagentur hat bei vier (0)900er-Rufnummern wegen Fax-Spam die Abschaltung angeordnet und heute ein Rechnungs- und Inkassierungsverbot ausgesprochen.